출처 : http://www.boannews.com/media/view.asp?idx=42138&page=2&kind=6&search=title&find=
현실과 동떨어진 이야기 인것 같긴 한데, 좋은 내용인것은 틀림없음.
상황실 설치, 의사결정권자의 단일화 등 대응매뉴얼 신속히 마련해야
[보안뉴스=구태언 테크앤로 법률사무소 대표변호사] 2008년 A사의 대규모 개인정보 유출사고 이래 ‘전 국민의 개인정보가 한 번씩은 유출됐다’는 자조적인 평가 속에서 국민들의 개인정보 유출에 대한 관심이 낮아지던 중 2014년 새해 벽두에 발생한 신용카드 3사의 1억 건이 넘는 개인정보 유출사고와 K사의 1,200여만 건의 개인정보 유출사고는 개인정보보호에 관한 국민적 관심을 다시금 불러일으켰다.
|
▲개인정보 유출 규모 |
개인정보가 유출된 회사들은 고객 사과와 통지를 시작으로 각종 법령상 의무를 이행하고 주무부처의 현장조사와 국회 국정조사 등에 대응하기 위하여 전사적인 인적·물적·금전적 자원을 쏟아부었다. 개인정보가 유출되지 않도록 하는 것이 제일 중요하겠지만, 일단 개인정보가 유출되었다면 법령상 의무를 신속하고 정확하게 이행하고, 주무부처의 행정조사, 수사기관의 수사, 언론기관의 취재 등에 적절하게 대응함으로써 피해를 최소화하는 것이 매우 중요하다.
개인정보 유출사고에 적절히 대처하지 못할 경우 그 여파는 일파만파로 커지게 된다. 기업의 대외적 평판과 신뢰도가 급락하고, 재정적, 법률적 문제에 직면하게 된다. 여기에서는 필자의 개인정보 유출사고 대응 경험을 바탕으로 위와 같은 문제를 방지하고 최소화하기 위해 기업들이 주의해야 하는 사항들을 간략히 살펴보기로 한다.
1. 상황실의 신속한 설치
개인정보 유출 사실을 인지하는 경로는 매우 다양하나, 일단 유출 사실을 알게 되었다면 회사 내규 또는 매뉴얼에 정해진 바에 따라 ‘상황실’을 신속하게 설치하는 것이 중요하다(대부분의 기업들은 보안사고를 등급화 하고 있으나, ‘개인정보’ 유출사고는 가장 심각한 상황으로 설정하고 있다). 개인정보 유출사고가 발생할 경우 민·형사적 이슈는 물론이고 주무부처의 현장 조사와 자료 요구, 언론기관의 취재, 상장기업의 경우 공시 업무까지 하루에도 수십 가지의 중요 의사결정사항이 발생하게 되는데, 평상시의 의사결정 조직으로는 이러한 상황을 감당할 수가 없다.
특히 개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률에 따르면 개인정보 누출 등 사실을 안 때로부터 ‘24시간’ 이내에 통지 및 신고해야 하고, 정당한 사유 없이 경과할 경우 3천만원 이하의 과태료에 처해질 수 있다. 그러나 ‘24시간’은 통지 대상의 확정, 신고서 작성 등 업무를 수행함에 있어 매우 짧은 시간이기 때문에 평소에 신고서 작성 연습 등 준비를 하고 상황실에서 신속한 판단을 하지 않으면 법이 요구하는 요건을 갖추지 못해 과태료 처분을 받거나 민사소송의 위자료 산정에서 불리한 처지에 놓이게 된다.
이처럼 상황실은 회사 여러 곳에 산재(散在)해 있는 위기대응 역량을 한데 모아 효율적이고 신속한 대응을 하기 위한 필요·최소한의 조치다. 다만 상황실 운영 경험은 개인정보 유출사고를 상정한 연습을 하지 않는 이상 경험하기 어려운 점이 있으므로 후술하는 바와 같이 전문가의 도움을 받을 필요가 있다.
2. 의사결정자의 단일화
상황실의 경우 정보보호 전담조직이 주를 이루겠지만 그 밖에도 홍보팀, 법무팀 등 여러 부서 관계자가 참여를 하게 된다. 평소에는 별개의 ‘부문’ 또는 ‘본부’에 분산되어 있던 조직이 상황실을 통해 기능적으로 하나가 되기 위해서는 여러 조직을 아우를 수 있는 ‘리더’가 있어야 한다. 그 ‘리더’는 기민한 상황판단과 의사결정을 통해 상황실을 이끌고 대외적 단일 창구 역할을 해야 하며, 이를 위해서는 모든 정보가 상황실을 통해 리더에게 집적되어야 한다.
의사결정자의 ‘단일화’는 단순히 1명으로 제한하라는 의미에 그치는 것이 아니라, 다양한 의사결정 사항을 신속하게 정리하고 회사의 입장을 하나로 통일시킬 수 있어야 한다는 기능적 의미를 내포한다. 일부에서는 사후적인 책임을 염려하여 여러 부서장들에게 권한을 분산하는 경우가 있는데 이 경우 신속한 의사결정 측면에서 바람직하지 않은 형태다. 상황실은 중앙집중 형식이 보다 적합하다. 대표이사가 상황실장이 된다면 큰 무리가 없을 수 있으나, 부득이 임원 중 한 사람이 상황실장이 된다면 최고경영자나 그룹 차원에서 상황실장에게 임시적으로나마 여러 부서를 통할할 수 있는 권한을 명시적으로 부여해 주는 것이 필요할 것이다.
3. 명확한 권한 위임 체계 수립
명확한 권한 위임 체계가 마련되어 있지 않으면 업무를 지연시키고 오히려 혼란을 가중시키며 결국에는 적절하지 못한 대응을 통해 회사에 2차 피해를 입힐 수 있다. 평상시의 업무체계는 정확성과 신속성의 조화에 기반한 것이므로, 개인정보 유출사고와 같은 비상상황에는 적합하지 않다. 평소와 같이 정보보호 부서에서 현업에 협조전 등 공문을 보내 의견을 조율하는 등의 방식은 회사가 처한 상황에 비추어 볼 때 ‘사치(奢侈)’라고 할 수 있다. 비상(非常) 상황에는 그에 걸맞은 효율적인 업무분장과 간결한 위임체계가 필수적이다.
이를 위해서는 사전에 회사의 정책이나 지침, 매뉴얼 등에 상황실을 정점으로 하는 위임체계에 관한 규범적 근거를 마련해 놓아야 소모적인 논쟁을 피할 수 있다. 만약 실제 상황실을 운영하는 과정에서 일부 미흡한 점이 발견되면 신속히 최고경영자에게 보고하고 권한 위임을 명확히 하여 전사적으로 공포함으로써 회사의 모든 역량을 위기 대응에 적절히 활용할 수 있도록 해야 한다.
4. 대외적 접촉 창구 단일화
앞서 본 권한 위임 체계가 대내적 의사소통에 관한 것이라면, 대외적 접촉 창구의 단일화는 대외적 의사소통에 관한 것이다. 상황실이 마련되면 회사의 모든 대외접촉 창구는 상황실 또는 상황실장으로부터 권한을 위임받은 부서(주로 홍보팀)로 단일화 할 필요가 있다.
회사 내부 사정을 잘 아는 직원들이 가족이나 지인들에게 전달한 내용이 사후에 민·형사 재판에서 회사에 불리한 증거로 제출되는 경우가 있으므로 유의할 필요가 있다. 따라서 사내 공지, 내부 연락망 등을 통해 대외적 접촉창구를 공지하고, 외부로부터 사실관계 등에 관해 질문을 받으면 사전에 정해진 접촉 창구로 연결시켜주거나 연락처를 알려주도록 통보하는 것이 중요하다.
무엇보다 중요한 점은 대외적으로 나가는 문서나 코멘트 등 회사의 공식 입장은 반드시 상황실의 검토를 거치도록 해야 하며, 상황실은 사후적으로 민형사 소송에서 어떠한 영향을 미칠 수 있는지 여부까지 심도있는 검토를 진행해야 한다. 일반적으로 외부로부터 사실관계 확인이나 피해구제에 관한 입장 표명을 요구할 경우 자신이 알고 있는 사실을 무의식적으로 밝히는 경향이 있고, 한 명 한 명은 약간의 정보를 알려줄지 모르지만 그 정보들이 왜곡되거나 결합되어 회사에 매우 치명적인 정보가 될 수 있기 때문이다.
5. 외부 전문가의 도움 요청
개인정보보호를 관련 업계의 자율에 맡기고 있는 미국과 달리, 우리나라는 법령에서 개인정보보호에 관한 사항을 매우 상세히 규정하고 있고, 위반시 5년 이하의 징역 또는 5천만원 이하의 벌금에 처하는 등 비교법적으로 가장 강력한 처벌규정을 마련하고 있다. 뿐만 아니라 개정 정보통신망법에는 법정손해배상제도도 도입되는 등 ‘개인정보보호’ 문제는 보안의 문제이기에 앞서 법률적 문제다.
더욱이 일반법인 개인정보보호법 외에 특별법인 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률’, ‘신용정보의 이용 및 보호에 관한 법률’ 등 개인정보보호에 관한 특별법들이 산재하고 있기 때문에 어떤 법령, 어떤 지침 등이 적용되는지에 따라 의무 위반 여부나 형사처벌 여부가 달라진다.
이러한 점들을 사내 감사팀, 법무팀이나 준법감시 조직 등이 분석하여 신속하게 대응하는 것은 매우 어렵다. 내부 인력이 모든 현행 법령에 대한 지식과 대응 노하우를 갖추지 못하고 있다면, 개인정보유출 분야에서 경험이 풍부한 외부 법률/보안 전문가의 도움을 받는 것이 현명하다.
맺으며
간략하게나마 개인정보 유출사고 기업들이 주의해야 하는 사항을 살펴보았다. 앞서 살펴본 사항은 기본적으로 상황실 운영 등 개인정보 유출사고 후 대응과정에서 주의해야 하는 것들이지만, 상황실 설치 근거나 위임 규정 마련, 신속한 통지와 신고 의무 이행 등은 평소 회사가 철저히 대비하지 않으면 신속하게 이행할 수 없는 사항이라는 점을 동시에 유념할 필요가 있다. 특히 우리나라의 경우 개인정보보호는 보안의 문제임과 동시에 법적 문제라는 점을 명확히 인식하고 관련 전문가의 도움을 받을 필요가 있다.
'old > 관리적 보안' 카테고리의 다른 글
| [기사] 개인정보보호 관리체계(PIMS) 인증 취득 가이드 (0) | 2014.07.31 |
|---|---|
| [기사] 효과적인 정보보호 조직 구성을 위한 소고 (0) | 2014.07.28 |
| [기사] 사이버 침해사고 대응 문제점 진단과 그 대안 (0) | 2014.07.28 |
| [자료] 금융분야 개인정보보호 컴플라이언스 향상을 위한 지원 사례 (0) | 2014.07.23 |
| [기사] 위기의식 갖고 변화해야 (0) | 2014.07.14 |
